El panorama ha cambiado drásticamente en los últimos cinco años. La tendencia es apartarse de la seguridad perimetral; ir más allá de “asegurar el castillo contra los malos”. Hoy en día ya no hay castillo que proteger, porque los sistemas de TI están distribuidos. Los límites están cada vez más difusos. Todo se ha complicado mucho.
La velocidad de evolución de las tecnologías y sistemas que soportan la información es uno de los principales retos para los responsables de seguridad. Es realmente difícil adaptarse a la aceleración constante con la que se están produciendo los cambios —y a la que están evolucionando los ciberdelincuentes— para poder proteger de forma adecuada la transformación digital de las organizaciones.
A lo largo de los últimos años, las empresas han pasado de desarrollar una estrategia do it yourself a otra más estructurada, en la que entra en juego un proveedor de servicios gestionados de seguridad. Sobre este panorama tan complejo, y sobre las respuestas que se pueden ofrecer, hemos hablado con dos expertos de DXC Technology: Manuel Bissey, Cybersecurity Lead for Southern Europe, y Mikel Salazar, head of Security for Iberia.
En su opinión, la situación general ha mejorado mucho si lo comparamos con el escenario que existía hace cinco años. Ya sean compañías grandes o pequeñas, el nivel de madurez de las organizaciones ha aumentado de forma importante y la ciberseguridad es ahora una de las principales prioridades.
El nivel de madurez ha aumentado de forma importante. La ciberseguridad es ahora una de las prioridades.
“Una de las causas, naturalmente, son las regulaciones que han ido apareciendo, pero los accionistas también comienzan a hacerse preguntas en torno a la seguridad de las organizaciones, sobre las medidas que se están aplicando o cuál es el nivel de riesgo al que están expuestas”.
No cabe duda de que la puesta en marcha de la RGPD o la directiva NIS han ayudado mucho a las organizaciones en lo que respecta a la concienciación. “Las empresas se han dado cuenta de que este es un tema muy importante, tanto en Europa, que es donde se aplican ambas directivas, como también fuera. Por ejemplo, esto ha ayudado mucho a que, en empresas americanas, los consejos de administración tomen conciencia de que la ciberseguridad es un tema muy relevante. Hemos visto casos en que, incluso, lo han convertido en uno de los de mayor prioridad para la compañía”.
Robo de información
El dato es uno de los activos más importantes para las empresas y garantizar su protección debería ser una de las máximas para los responsables de seguridad. “Sin embargo, con frecuencia encontramos compañías que no cuentan con los conocimientos o herramientas necesarios para detectar los denominados ‘ataques silenciosos’. Esto es especialmente arriesgado si tenemos en cuenta que el tiempo medio necesario para detectar las intrusiones en los sistemas de información es de unos 120 días«.
Los accionistas comienzan a preguntarse sobre el nivel de riesgo al que las empresas están expuestas
Otra modalidad de ataque que está ganando protagonismo son los de tipo malicioso, cuyo único propósito es el de hundir los sistemas de la víctima para que no funcionen. “El ransomware o los de denegación de servicio (DDOS) son algunos de los más extendidos”.
Además, se trata de ataques cada vez más organizados y sofisticados, incluso podríamos llamarlos “profesionales” porque en algunos de ellos se pueden hasta distinguir diferentes ecosistemas. “Por ejemplo, hay grupos de personas que se dedican a desarrollar los ataques y luego hay otro grupo que se encarga de realizarlos. Es decir, trabajan en equipos”.
Lo que sí es una realidad es que no existe la seguridad total. Ni las grandes corporaciones ni los Estados pueden afirmar que están seguros. Si tenemos en cuenta la actividad de los cibercriminales por regiones, en Europa hay determinadas organizaciones que son atacadas de forma recurrente y el origen puede ser muy diverso. “En este mundo digital no hay fronteras convencionales. Los ataques pueden provenir de cualquier lugar y nadie puede decir que está perfectamente protegido”.
Inteligencia artificial y seguridad
Es evidente que la tecnología es una herramienta fundamental para mejorar la seguridad de las corporaciones, pero… “Como en todos los campos, la tecnología puede favorecer a los ‘buenos’, y también a los ‘malos’. La mayoría de los grandes ataques siguen sin ser detectados hoy en día, lo que representa un enorme problema”.
La mayoría de los grandes ataques siguen sin ser detectados hoy en día, lo que representa un enorme problema
Esto provoca una situación en la que los cibercriminales cuentan con mucho tiempo para poder desarrollar y mejorar sus ataques. “En este ámbito resulta muy importante esa inteligencia global, que nos permite conocer qué ataques se están produciendo y cómo se está respondiendo ante ellos. Es muy importante detectar que hay un problema, pero resulta igualmente trascendental que los tiempos de respuesta sean adecuados y eviten que el problema se extienda por toda la organización”.
La velocidad a la que todo evoluciona requiere el uso de diversas tecnologías, como pueden ser machine learning, empleándola de forma conjunta con servicios de orquestación y automatización. “Estamos implementando este tipo de tecnologías en muchas empresas, pero, seguramente, lo que es más importante para que la respuesta sea efectiva es el modo en el que se integran en el ecosistema de las organizaciones”.
Por otra parte, una de las razones que impiden una respuesta más adecuada ante este tipo de incidentes es el hecho de que la mayoría de las contramedidas de seguridad no están siempre en manos del equipo de seguridad.
“Muchas actividades de respuesta frente a amenazas las lleva a cabo personal que no es de seguridad. Un ejemplo: si se ha sido víctima de un ataque de ransomware, se necesita orquestar toda una serie de equipos. Algunos que se encargue de las tecnologías relacionadas con las redes, otros de TI que se encarguen de las copias de seguridad, etc. Pero sin una voz común, que se encargue de la orquestación y la automatización de todos los procesos del ecosistema, se producen incongruencias o retrasos para volver a un estado funcional”.
Al igual que en una batalla real, es necesario disponer de generales, que controlen la situación y definan la estrategia; pero también hacen falta soldados en el campo de batalla, que hagan lo que tienen que hacer. “Principalmente, se trata de ser capaces de realizar una correcta gestión de todos los recursos, y de aprovechar la tecnología para ser más rápidos y eficientes”.
Inteligencia global, proyección local
El objetivo de los servicios de seguridad de DXC es potenciar y completar las capacidades de seguridad internas de las empresas durante sus procesos de transformación digital del negocio, y acompañarlas más allá.
Para ello, DXC cuenta con una inteligencia global, apoyada en una red de 16 SOC (centros de operaciones de seguridad) a nivel mundial. Estas capacidades se complementan con una proyección local, que permite trabajar de forma cercana con las empresas, entender su negocio para poder protegerlo mediante servicios personalizados y dar cumplimiento a las normativas y restricciones nacionales. Por ejemplo, el equipo humano de DXC de Seguridad en Iberia está compuesto por más de 150 profesionales.
El movimiento hacia la nube
Según el analista Gartner, más del 80% de las grandes compañías incrementarán de manera sustancial la inversión en infraestructuras y servicios cloud el próximo año. En España se prevén 1 600 millones de euros, lo que representa un 600% superior respecto a dos años atrás.
“A menudo, la transición hacia la nube se plantea como un viaje inesperado, en el que los primeros pasos suelen ser improvisados y desestructurados, dejando la seguridad a un lado en favor de la funcionalidad. Esto puede hacer que desemboque en resultados devastadores y catastróficos que lleven a casos de pérdida de negocio y provoquen un daño reputacional irreparable”.
Es importante conocer los principales retos a los que nos enfrentamos en este cambio de paradigma para poder mitigar los riesgos asociados que derivan de su adopción, tales como la desaparición de los perímetros de seguridad clásicos, el incremento de la superficie de ataque y la aparición de nuevas amenazas, la definición clara de responsabilidad entre proveedores y consumidores, la presión regulatoria o la falta de visibilidad y gobierno de la actividad en la nube.
Las empresas deben centrarse en lo que es realmente importante para el negocio: los datos y las aplicaciones, los usuarios y las interacciones.
Las empresas deben centrarse en lo que es realmente importante para el negocio: los datos y las aplicaciones que los alojan, los usuarios que acceden a ellas y las interacciones que se producen con terceros.
“En este ámbito, nuestros servicios Cloud Security permiten el diseño y desarrollo de un itinerario de seguridad que variará en función del punto de partida en el que nos encontremos. Es el nivel estratégico que primero debemos atender, mediante una evaluación de los niveles existentes de madurez, cumplimiento y riesgo, que permitirá definir las referencias y las capacidades de seguridad que sea necesario alcanzar para los entornos de nube a lo largo de toda la organización”.
Este diagnóstico inicial es clave para la confección de la hoja de ruta de cualquier organización y permitirá priorizar la inversión necesaria para asegurar un viaje seguro a la nube.
Retos de futuro
Aparte de esta visión sobre el estado actual de la ciberseguridad, les preguntamos también sobre el escenario que prevén para el futuro. En su opinión, las previsiones que manejan a corto plazo hablan de un incremento del cibercrimen dirigido, la necesidad de implementar nuevos controles derivados de la presión normativa, así como la de seguir trabajando para facilitar el necesario viaje seguro a la nube.
“Nuestros esfuerzos se centrarán en los desafíos que se siguen desarrollando en ámbitos como la identidad digital, la detección de fraude y la evolución de los sistemas de monitorización basados en IA, la securización de las infraestructuras (tanto on-premise, como en la nube o modelos híbridos, sin olvidar, por supuesto, la evolución del endpoint) y la protección del dato”.
Otro de los puntos importantes para DXC Technology será todo lo relativo a los modelos de colaboración con partners. “Por ejemplo, las capacidades de automatización y respuesta rápida ante incidentes con las que cuenta nuestra DXC Security Plattform a través de Security Operations de ServiceNow, o la prestación de servicios gestionados de seguridad apoyados en las soluciones de Microsoft, en las que ya estamos preparados y certificados”.
En el ámbito de la nube, Manuel Bissey y Mikel Salazar destacan el protagonismo que tendrán los servicios de advisory, así como la seguridad específica para modelos IaaS —empleando CWP (cloud workload protection) y la protección de contenedores— y SaaS, a través de CASB (cloud access security broker).
Junto a estos ámbitos, también marcaron como una prioridad todo lo relativo a la protección de los entornos TO (tecnologías de la operación) en el ámbito industrial y de infraestructuras críticas.
“Por último, mantener los esfuerzos en concienciación es fundamental para nosotros. En este ámbito, ofreceremos diferentes servicios, como la gamificación o una serie de programas que permiten la optimización y la mejora de la primera línea de defensa de las empresas: sus empleados”.
